近年来,移动互联网应用程序(APP)得到广泛应用。为提高APP的开发效率、降低开发成本、提升用户使用体验等,APP开发者和运营者往往会通过集成软件开发工具包(即SDK)以满足即时通讯、地图导览等不同功能。然而,随着APP个人信息保护治理工作的深入推进,与APP存在密切联系的第三方SDK的相关问题与行业规范也愈发被重视。
近日,《移动互联网应用程序(APP)SDK安全指南》(以下简称《指南》)编制工作研讨会在北京召开。据悉,该《指南》将根据《中华人民共和国网络安全法》等相关法律,从SDK个人信息安全、SDK安全开发、APP集成安全等方面,提出SDK控制者在开发、运营、个人信息处理、数据安全管理、跨境管理等环节应遵循的原则和安全措施,将是国内首个关于SDK安全的国家标准,对进一步推动行业健康安全发展及保障个人合法权益都具有深远意义。
什么是SDK呢?简单来讲,不管是你每天收到的新闻推送,还是促销活动广告,甚至短信验证码,都有可能出自第三方之手,这些集成在APP里的第三方工具包被称为SDK。整体来看,SDK可以帮助APP高效率、低成本地实现地图、统计、社交、支付、广告等一系列功能,同时自身通过“寄生”在APP内,从而具备获取用户设备信息和个人信息的能力。因此,SDK在个人信息收集、转换方面扮演着不可替代的角色。
早在2019年年初,相关部门就联合发布了《关于开展App违法违规收集使用个人信息专项治理的公告》(以下简称《公告》)。《公告》指出,App运营者收集使用个人信息时要严格履行《网络安全法》规定的责任义务,对获取的个人信息安全负责,采取有效措施加强个人信息保护。在有关部门高度重视、加大惩治力度的背景下,近两年个人信息保护方面存在的乱象已经得到一定的治理,多类个人信息保护举措也逐步得到实施。
互联网平台在SDK个人信息安全保护方面,能够起到关键作用。依托相关的法律法规和行业规范,互联网平台管理者可以针对移动应用可能出现的个人信息安全风险,对移动应用进行合规检测,提供多维度的技术验证,以此为在互联网平台上进行数据资源共享、商贸活动的用户打造一个清洁、有序的环境,让SDK个人信息安全多了一重保障。
对于企业来说,构建一个良好的SDK准入流程或标准,无疑是防范SDK引发信息安全风险有效的措施之一。眼下,中国金融认证中心(CFCA)作为国内首批提供APP安全和SDK供应链安全检测的第三方测评机构,已为多个认证单位、监管机构、社会媒体对APP的安全和个人信息的安全提供了多方位、定制化的测评服务,并获得了许多企业的认可。
随着5G、云计算、大数据、物联网、移动通信、人工智能等技术的快速发展,移动互联网产业正呈现专业化、垂直化和平台化趋势,对社会经济发展的基础性作用日益突显。移动互联网应用(APP)的种类和数量呈爆发式增长,越来越多地渗透到人们生活、工作的各个领域,这一方面为人们提供了许多便利,另一方面也增加了各类个人信息恶意使用的风险。对此,加强对于个人及企业、机构隐私数据的规范化使用,将是一场需要全民参与的“持久战”,而综合采用法律规范、平台监管等手段,将能够让个人信息保护收效更高、更加可行。